Перспективы и тренды развития платформ TIP
Редакция журнала "Информационная безопасность", 18/01/24
Threat Intelligence Platform (TIP) выступает в роли умного инструмента, предназначенного для сбора, анализа и использования данных о киберугрозах. Разработчиками этого класса решений посмотрели на перспективы его развития.
Эксперты:
- Кирилл Митрофанов, руководитель команды аналитики разведки киберугроз “Лаборатории Касперского”
- Роман Овчинников, руководитель отдела исполнения Security Vision
- Илья Селезнев, руководитель продукта TI группы компаний “Гарда”
- Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”)
- Олег Скулкин, руководитель BI.ZONE Threat Intelligence
- Николай Степанов, пресейл-инженер F.A.C.C.T.
- Борис Сторонкин, менеджер продукта Kaspersky Threat Intelligence Platform в “Лаборатории Касперского”
- Валерия Чулкова, руководитель продукта R-Vision TIP
- Елена Шамшина, руководитель департамента Threat Intelligence компании F.A.C.C.T.
Наблюдаете ли вы слияние функциональности российских систем SIEM, SOAR и TIP? Вокруг какого класса решений это происходит или скорее всего произойдет?
Илья Селезнев, Гарда:
На мой взгляд, активного слияния не происходит, упор больше делается на создание экосистем. То есть использование одного продукта становится более эффективным или удобным при включении второго, третьего – в зависимости от состава экосистемы. Если же такая тенденция появится, то, конечно, центром такого слияния будет SOAR.
Валерия Чулкова, R-Vision:
Учитывая, что TIP не только агрегирует данные TI в едином пространстве, но и обеспечивает инструментами аналитики, обнаружения и экспорта, сложно сказать, что этот функционал мигрирует в другие системы. При этом потребность в данных киберразведки со стороны других систем заметно растет, и формат платформы TI наилучшим образом подходит для централизованной доставки данных киберразведки в системы ИБ. Наиболее активное применение этих данных приходится на системы SIEM. Однако такие системы. как SOAR, песочницы, EDR, IDS, также нуждаются в атрибуции IoC.
Елена Шамшина, F.A.C.C.T.:
В ближайшем будущем все больше данных из TI будут интегрироваться в смежные ИБ-системы для корреляции и построения моделей киберугроз. Все больше компаний, оказывающих поддержку клиентам в качестве SOC, используют в своей работе TI-платформы.
Борис Сторонкин, Лаборатория Касперского:
Тренд централизации данных классов решений действительно имеет место быть в решениях класса XDR. При внедрении XDR важно обеспечить полноценное взаимодействие между его компонентами и выстроить процессы, эффективно использующие эти взаимодействия.
Роман Овчинников, Security Vision:
Все три класса применяются в процессе управления киберинцидентами, поэтому неудивителен тренд на конвергенцию функционала данных систем. В процессе реагирования важно выполнение активных действий по оперативной локализации и устранению угрозы, а источник данных об инциденте (SIEM-система или конечное СЗИ) не так важны, поэтому выстраивание подобного объединения видится целесообразным вокруг решений класса NG SOAR.
Олег Скулкин, BI.ZONE:
Многие вендоры уже предлагают широкий набор интеграций с самыми разными решениями. Обычно это данные технического уровня, а именно потоки индикаторов компрометации. Тем не менее, хорошие платформы содержат в том числе данные тактического, операционного и стратегического уровней, а это значит, что обогащение можно значительно улучшить: оно может включать описание группировки или ВПО, связанные инструменты, уязвимости и т.п.
Каковы перспективы и тренды развития платформ TIP?
Валерия Чулкова, R-Vision:
С учетом изменений конъюнктуры рынка ИБ в России можно прогнозировать развитие возможностей интеграции с отечественными вендорами систем ИБ. При этом постоянная борьба за ресурсы специалистов будет стимулировать развитие автоматизации сценариев работы с данными TI. Тренд на внедрение технологий ML уже можно наблюдать в разных элементах платформ. В целом же в TIP будут появляться новые источники данных киберразведки, улучшаться элементы анализа и обмена данными, совершенствоваться общий пользовательский опыт эксплуатации.
Борис Сторонкин, Лаборатория Касперского:
- Будет доступно расширение типов и увеличение объемов хранимой информации.
- Станет возможным нахождение связей и улучшение контекстной информации по каждому типу, в том числе с использованием искусственного интеллекта.
- Уже сейчас есть спрос на Tailored TI, и вендоры будут активнее фокусироваться именно на релевантных для конкретного заказчика данных.
Роман Овчинников, Security Vision:
Уже сейчас заметен тренд на применение технологий машинного обучения и искусственного интеллекта для выявления аномалий, проактивного обнаружения и реагирования на киберугрозы в TIP-решениях. Не исключен отход от классических IoC (хеши, домены, URL, IP) в сторону выявления индикаторов атак (IoA) с автоматическим реагированием при их обнаружении.
Алексей Семенычев, Гарда:
Перспективными направлениями развития можно считать технологии машинного обучения для работы с большими объемами данных, интеграцию с системами SIEM (управление информацией о безопасности и управление событиями безопасности), SOAR (оркестрация систем безопасности), интеграцию с DRPS (защита от цифровых рисков) и EASM (управление поверхностью внешней атаки).
Кирилл Митрофанов, Лаборатория Касперского:
- Популярность TIP будет расти, пользователи осознают необходимость делится информацией об инцидентах в рамках парадигмы "предупрежден – значит вооружен".
- Появится автоматический парсинг загружаемых отчетов по TTPs с целью обогатить профили акторов и ландшафт киберугроз.
- Станет возможным предоставление контекстной информации "на лету" в браузере в процессе чтения отчетов в Сети.
- Появится модуль эмуляции атак на основе обработанных данных из отчетов.
Олег Скулкин, BI.ZONE:
Платформы должны развиваться в первую очередь в сторону обеспечения качества данных. К сожалению, сейчас многие ограничиваются лишь сбором данных из открытых источников, которые зачастую содержат небольшое количество релевантной информации. Кроме того, многие вендоры будут внедрять свои данные Threat Intelligence в собственные продукты, например EDR.